首页
外语
计算机
考研
公务员
职业资格
财经
工程
司法
医学
专升本
自考
实用职业技能
登录
计算机
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。 【说明】 某MOOC(慕课)教育平台欲开发一基于Web的在线作业批改系统,以实现高效的作业提交与批改并进行统计。系统页面中涉及内部内容的链接、外部参考链接以及邮件链接等。页面中采用表单
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。 【说明】 某MOOC(慕课)教育平台欲开发一基于Web的在线作业批改系统,以实现高效的作业提交与批改并进行统计。系统页面中涉及内部内容的链接、外部参考链接以及邮件链接等。页面中采用表单
admin
2016-11-13
27
问题
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
某MOOC(慕课)教育平台欲开发一基于Web的在线作业批改系统,以实现高效的作业提交与批改并进行统计。系统页面中涉及内部内容的链接、外部参考链接以及邮件链接等。页面中采用表单实现作业题目的打分和评价,其中打分为1~5分制整数,评价为文本。
系统要支持:
(1)在特定时期内300个用户并发时,主要功能的处理能力至少要达到16个请求/秒,平均数据量16kB/请求;
(2)系统前端采用HTML5实现,以使用户可以通过不同的移动设备的浏览器进行访问。
【问题4】
设计4个打分和评价的测试输入,考虑多个方面的测试,如:正确输入、错误输入、XSS、SQL注入等测试。
选项
答案
(1)打分为任何在1~5范围内的数字,评价为任意文本; (2)打分为任何在1~5范围外的数字,评价为任意文本; (3)打分和评价其中任一字段包含HTML标签,如:<HTML>,<SCRIPT>等; (4)打分和评价其中任一字段包含SQL功能符号,如包含’,OR、’--、2015’OR‘1’=‘1’等。
解析
本题考查Web应用测试的输入方面,包括输入的不同情况、安全性方面的SQL注入和XSS跨站攻击。
打分和评价的测试输入应该考虑分值的取值范围之内和之外以及文本中的内容:
(1)打分为任何在1~5范围内的数字,评论为任意文本;
(2)打分为任何在1~5范围外的数字,评论为任意文本;
输入的内容中输入符号可能会传到后台引起安全问题。
许多Web应用系统采用某种数据库,接收用户从Web页面中输入,完成展示相关存储的数据、将输入数据存储到数据库(如用户输入表单中数据域并点击提交后,系统将信息存入数据库)等操作。在有些情况下,将用户输入的数据和设计好的SQL拼接后提交给数据库执行,就可能存在用户输入的数据并非设计的正确格式,就给恶意用户提供了破坏的机会,即SQL注入。恶意用户输入不期望的数据,拼接后提交给数据库执行,造成可能使用其他用户身份、查看其他用户的私密信息,还可能修改数据库的结构,甚至是删除应用的数据库表等严重后果。SQL注入在使用SSL,的应用中仍然存在,甚至是防火墙也无法防止SQL注入。因此,在测试Web应用时,需要认真仔细设计测试用例,进行认真严格的测试,以保证如果存在SQL注入可以及早发现。
本系统测试时,设计测试如为:对打分和评价中任一字段设计包含SQL功能符号,如包含‘,OR、’--、2015’OR‘1’=‘1’等,检查结果是否造成注入问题。
许多Web应用系统在某些情况下,接收页面上传的内容,并入新页面,作为新页面的内容。例如,在本系统中进行打分和评论后,学生查看时显示分值和评价的内容。如果用户可以输入如下带有HTML标记的内容:
即新用户所看到的网页中显示Click me!,当用户鼠标移过此文字时,就会弹出窗口(左侧为Chrome弹出,右侧为IE9直接给出的提示窗口,多次鼠标滑过操作Chrome提示窗口多了一行浏览器对阻止这类代码的创建新窗口的选项,Firefox类似):
而如果这类代码都可以执行,就存在被真正恶意攻击者攻击的可能,而且可能造成各类安全问题。所以网站提交代码中的任何脚本、页面功能符号都不应该被直接接受以作为功能符号在后续使用。所以测试时需要考虑设计包含HTML标记符、脚本等测试输入,如<HTML>、<script>、<b>等功能符号。
转载请注明原文地址:https://kaotiyun.com/show/EzPZ777K
本试题收录于:
软件评测师下午应用技术考试题库软考中级分类
0
软件评测师下午应用技术考试
软考中级
相关试题推荐
某信息网络系统建设工程监理项目,项目总监编制了()作为指导整个监理项目工作的纲领性文件。该文件描述了监理项目部对工程的哪些阶段进行监理、说明了监理工作具体做什么、列出了监理工作在本项目中要达到的效果。
某综合性信息系统建设工程中,通信工程专业监理工程师编制了详尽的监理实施细则,内容包括:监理流程、监理的控制要点和目标、计划采用的监理技术和工具、针对工程异常情况的监理措施。如果你是总监理工程师,审核时应指出该监理实施细则还必须补充()。
如果将部门聚餐烤肉比作购买云计算服务,去饭店吃自助烤肉、去饭店直接吃烤肉、自己架炉子买肉烤着吃,分别对应()服务。
()的目的是对最终软件系统进行全面的测试确保最终软件系统产品满足需求。
工程监理费是付给信息系统工程项目监理单位的监理服务费用。工程监理的取费应综合考虑信息工程项目的监理特点、项目建设周期、地域分布、监理对象、监理单位的能力、监理难度等因素。一般采取的主要取费方式有(48)。①按照信息系统工程建设费(或合同价格)的百分比取费
原型法是面向用户需求而开发的一个或多个工作模型,以下关于原型法的叙述不正确的是______。
虚拟化资源是指一些可以实现一定操作具有一定功能,但其本身是(11)的资源,如计算池、存储池等,通过软件技术可实现相关的虚拟化功能包括虚拟环境、虚拟系统、虚拟平台。
在质量控制中,为寻找导致质量问题的主要因素应当采用(62)。
文件系统中,设立打开文件(Open)系统功能调用的基本操作是(25)。
网络集成面临互连异质、异构网络等问题,网络互连设备既可用软件实现,也可用硬件实现。以下_____________不属于网络互连设备。
随机试题
下列哪项是所有休克的根本特征
机械性肠梗阻最常见的原因是
以下哪项是脑出血的最常见部位
主要成分非挥发油的药材是
根据企业所得税法律制度的规定,下列关于资产的表述中,不正确的是()。
根据合伙企业法律制度的规定,在普通合伙企业存续期间,下列行为中,除合伙协议另有约定的以外,无须经全体合伙人一致同意的是()。
遗憾的是,对于成人身上的价值观错位,人们通常无视,因为人们已对这种功利主义的价值观________。反而,当一个小孩子表现出错误的价值观时,人们一下子受不了了。一些人认为只要抓紧对孩子的教育引导,他长大后就能形成正确的价值观。这显然是回避了问题的实质——当
下面哪项不是存款创造的条件()。
Whatarethespeakersdoingastheconversationbegins?
InSeptember,inBritain,youmayseealotofbirds【C1】______onroofsandtelegraphwires.Thesebirdsareswallows.Theyare【C
最新回复
(
0
)